CVE-2022-2498
https://notcve.org/view.php?id=CVE-2022-2498
An issue in pipeline subscriptions in GitLab EE affecting all versions from 12.8 prior to 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1 triggered new pipelines with the person who created the tag as the pipeline creator instead of the subscription's author. Un problema en las suscripciones a pipelines en GitLab EE afectando a todas las versiones desde la 12.8 anteriores a 15.0.5, la 15.1 anteriores a 15.1.4 y la 15.2 anteriores a 15.2.1, desencadena nuevos pipelines con la persona que creó la etiqueta como creador de tubería en lugar del autor de la suscripción • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2498.json https://gitlab.com/gitlab-org/gitlab/-/issues/243703 https://hackerone.com/reports/966824 • CWE-269: Improper Privilege Management •
CVE-2022-2456
https://notcve.org/view.php?id=CVE-2022-2456
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for malicious group or project maintainers to change their corresponding group or project visibility by crafting a malicious POST request. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Es posible que mantenedores de grupos o proyectos maliciosos cambien la visibilidad de su grupo o proyecto correspondiente al diseñar una petición POST maliciosa • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2456.json https://gitlab.com/gitlab-org/gitlab/-/issues/359910 https://hackerone.com/reports/1536559 •
CVE-2022-2497
https://notcve.org/view.php?id=CVE-2022-2497
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.6 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. A malicious developer could exfiltrate an integration's access token by modifying the integration URL such that authenticated requests are sent to an attacker controlled server. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 12.6 antes de la 15.0.5, todas las versiones a partir de la 15.1 antes de la 15.1.4, todas las versiones a partir de la 15.2 antes de la 15.2.1. Un desarrollador malintencionado podría exfiltrar el token de acceso de una integración modificando la URL de la integración de forma que las peticiones autenticadas se envíen a un servidor controlado por el atacante • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2497.json https://gitlab.com/gitlab-org/gitlab/-/issues/362671 https://hackerone.com/reports/1557992 •
CVE-2022-2531
https://notcve.org/view.php?id=CVE-2022-2531
An issue has been discovered in GitLab EE affecting all versions starting from 12.5 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. GitLab was not performing correct authentication on Grafana API under specific conditions allowing unauthenticated users to perform queries through a path traversal vulnerability. Se ha detectado un problema en GitLab EE afectando a todas las versiones a partir de 12.5 anteriores a 15.0.5, todas las versiones a partir de 15.1 anteriores a 15.1.4, todas las versiones a partir de 15.2 anteriores a 15.2.1. GitLab no estaba llevando a cabo una autenticación correcta en la API de Grafana bajo condiciones específicas que permitían a usuarios no autenticados llevar a cabo consultas mediante una vulnerabilidad de salto de ruta • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2531.json https://gitlab.com/gitlab-org/gitlab/-/issues/364252 https://hackerone.com/reports/1566306 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2022-1954
https://notcve.org/view.php?id=CVE-2022-1954
A Regular Expression Denial of Service vulnerability in GitLab CE/EE affecting all versions from 1.0.2 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1 allows an attacker to make a GitLab instance inaccessible via specially crafted web server response headers Una vulnerabilidad de Denegación de Servicio por Expresiones Regulares en GitLab CE/EE que afecta a todas las versiones desde la 1.0.2 anteriores a 14.10.5, la 15.0 anteriores a 15.0.4 y la 15.1 anteriores a 15.1.1, permite a un atacante hacer inaccesible una instancia de GitLab por medio de encabezados de respuesta del servidor web especialmente diseñadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1954.json https://gitlab.com/gitlab-org/gitlab/-/issues/358160 https://hackerone.com/reports/1531958 • CWE-1333: Inefficient Regular Expression Complexity •